Otherseverity: normalresolved
PAS-K 8048, 특정 로그 필터링 설정 후 불필요한 로그 증가
증상 및 본문
2024년 5월 28일 10시경, PAS-K 8048 모델(펌웨어 v5.3.0) 장비에서 특정 이벤트 로그(예: 'TCP SYN flood detected')를 필터링하기 위해 설정을 추가한 후, 오히려 관련 없는 다른 유형의 로그(예: 'HTTP request header parsing error')까지 과도하게 발생하는 현상이 관찰되었습니다. 이로 인해 Syslog 서버의 디스크 사용량이 급증하고 있으며, 실제 중요한 로그를 파악하기 어려워지고 있습니다. 설정 변경 전에는 이와 같은 현상이 없었습니다. 'config log filter add' 명령어로 특정 패턴을 포함하는 로그를 필터링하도록 설정했으나, 의도와 다르게 동작하는 것으로 보입니다. 현재 불필요한 로그 발생으로 인해 Syslog 서버의 부하가 증가하고, 모니터링 시스템의 알람이 오작동하는 문제가 발생하고 있습니다.
근본 원인
로그 필터링 설정 시 정규표현식 또는 필터 조건이 너무 광범위하게 적용되어, 의도치 않은 다른 유형의 로그까지 포함되어 전송되었습니다.
조치
CLI에서 'config log filter delete [기존 필터 ID]' 명령어로 기존 필터 설정을 삭제한 후, 보다 정교한 정규표현식을 사용하여 필요한 로그만 필터링하도록 재설정('config log filter add expression "[정교한 정규표현식]"')하여 불필요한 로그 발생을 억제했습니다.
코멘트 (0)
코멘트가 없습니다.